불확실성 속 제로트러스트 사업 전진…`성숙도 검증` 과제로

실시간
뉴스

보안

불확실성 속 제로트러스트 사업 전진…'성숙도 검증' 과제로

디지털데일리 발행일 2025-04-10 14:32:01

김보민 기자

URL복사

[디지털데일리 김보민기자] 정치 불확실성 속 정보기술(IT) 정책 기조가 안갯속에 빠졌지만, 새 정부가 들어서기까지 기존 사업은 예정대로 추진되는 분위기다. 보안 분야에서는 제로트러스트(Zero Trust) 지원 사업을 필두로 흐름이 이어지고 있다.

10일 관련 업계에 따르면, 한국인터넷진흥원(KISA)은 이달 23일까지 '제로트러스트 도입·전환 컨설팅' 수요 기업을 모집한다. 총 8억원 규모(기업당 1억·총 8개)로 편성된 이번 사업은 중소기업뿐만 아니라 중견기업과 대기업도 대상으로 진행된다.

제로트러스트는 '누구도 믿지 말고 검증하라'는 보안 방법론으로, 외부뿐만 아니라 내부에서도 위협이 발생할 수 있다고 가정한 뒤 보안 태세를 강화하는 것이 골자다. 미국은 제로트러스트 도입에 가장 적극적인 데다 글로벌 정책을 주도하는 국가로 꼽히는데, 한국의 경우 윤석열 정부가 출범한 이후 2023년 첫 가이드라인을 배포하며 흐름에 올라탔다. 이후 윤 전 대통령의 파면과 조기 대선으로 IT 정책 기조에 변화가 불가피할 것으로 예상되는 가운데, 보안 분야의 주요 지원사업은 예정대로 추진되는 모습이다.

국내 보안업계에서는 제로트러스트가 미국과 한국 등 특정 국가에만 국한된 것이 아닌, 주요국에서도 주목하고 있는 보안 체계인 만큼 차기 정부에서도 관련 사업이 추진될 것으로 기대하고 있다. 현재 미국은 연방정부 차원에서 제로트러스트를 구현하기 위한 프로젝트를 추진하고 있고 이외 영국, 일본, 싱가포르, 캐나다, 중국도 흐름에 올라탄 상황이다. 한국은 북한발 사이버 공격이 거세지고 있고, 사이버 전쟁에서도 자유롭지 않은 위치에 있는 만큼 한국표 제로트러스트에 대한 필요성이 커지는 상황이다.

이번 사업은 국내 민간 기업이 제로트러스트 보안을 도입할 수 있도록 컨설팅을 지원한다. 제로트러스트 전환에 필요한 성숙도를 검증할 수 있도록 지원하는 것이 관건이다. KISA는 모집공고서를 통해 "수요기업의 정보보호최고책임자(CISO), 정보보호 실무 담당자를 대상으로 현장 인터뷰를 진행해 성숙도 평가 결과에 대한 교차 검증을 수행한다"며 "수요기업의 현 제로트러스트 과점의 보안 수준과, 전사적 관점의 보안 목표를 고려해 중장기 제로트러스트 도입 목표를 설정한다"고 설명했다.

성숙도 검증을 통해, 궁극적으로 향상 방안을 갖출 수 있도록 단계별 조치 사항 등을 제언하겠다는 취지다. 성숙도 검증은 지난해 12월 발간된 제로트러스트 가이드라인 2.0에서 구체화된 바 있다.

성숙도 모델은 일반으로 특정 프로세스와 기술에 대한 조직의 수준을 분석하거나 측정하는 도구로, 미국 사이버보안·인프라안보국(CISA)가 제시한 모델을 착안하는 경우가 많다. 가이드라인 2.0은 CISA가 2023년 4월 발표한 모델을 착안해 성숙도 수준을 4단계로 나눈 바 있다. 성숙도 모델 4단계는 ▲기존(정적·경계 기반·수동) ▲초기(일부 자동화) ▲향상(자동화·중앙집중적·통합) ▲최적화(동적·완전 자동화)로 나뉜다.

이 성숙도 단계는 제로트러스트 아키텍처를 도입하기 위한 '절대적 답안지'는 아니다. 기업 규모, 분야, 접근 주체, 리소스 종류, 네트워크 아키텍처, 대상 규정 등에 따라 성숙도 모델을 재정의할 수 있다. 다만 각 기업마다 형태가 다르고, 기존에 갖춘 보안 체계를 제로트러스트 성숙도 모델에 맞추기 위한 작업 또한 필요해 기업이 자체적으로 이를 평가하기란 쉽지 않은 실정이다. 이번 지원사업은 이를 컨설팅하는 데 집중할 것으로 보인다.

KISA는 4월 수요기업 모집을 마치고 서류 검토와 평가에 돌입한다. 이후 5월 최종 과제를 선정하고, 11월까지 사업을 수행한다. 컨설팅 결과 보고는 12월 중 나올 전망이다.